The latest IE "0day" is making big news. The bulletin now includes IE6, IE7, and IE8 beta. Looking at CVE-2008-4844 will give a decent round-up of related links. Shadowserver has a list of domains known to be using exploits that attack this vulnerability. Microsoft has some workarounds to help mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability.
One thing to remember is that many malicious sites do not rely on one vulnerability. Don't let one high-profile vulnerability and news of exploits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild make you forget about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big picture. If a site is hosting exploits against this IE vulnerability, it is very likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site will be hosting additional exploits.
One example is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest profile domains hosting exploits, 17gamo[dot]com. The SQL attacks referenced on SANS are injecting a URI containing this malicious domain. As mentioned on SANS diary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 javascript in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected URI leads to additional files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious site. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS diary specifically mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IE exploit, it doesn't mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploits.
Please remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following site is malicious!
$ wget -r http://www.17gamo.com/coAfter downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, I change to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct directory and see what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re:
$ ls co/The index file tries to open iframes containing 14.htm, flash.htm, ie7.htm, nct.htm, office.htm, real.htm and real.html. The flash.htm file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n references ihhh.html and fhhh.html. We already know from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS diary what ie7.htm does.
14.htm flash.htm ihhh.html nct.htm real.htm swfobject.js
fhhh.html ie7.htm index.html office.htm real.html
It was nice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file authors to use relevant names for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files. The flash.htm code references both ihhh.html and fhhh.html. Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will serve up a Flash exploit of varying names depending what version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Flash Player is detected. Downloading a couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SWF files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same size but diff shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not identical. They all seem to produce similar results on Virustotal.
The office.htm file appears to be an exploit targeting CVE-2008-2463, a MS Office Snapshot Viewer ActiveX vulnerability. If vulnerable, this will lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same win.exe mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS diary and it looks like it will attempt to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Startup' folder for All Users.
I haven't looked at real.htm, real.html, nct.htm or 14.htm yet.
This is all just to point out that most malicious sites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days will run a number of attacks against web clients, so just because one failed doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. I saw a system get hit by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ie7.htm exploit without immediately downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win.exe from steoo[dot]com, yet it did run one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious SWF files.
No comments:
Post a Comment